胡久辉律师点评《黑客武器库:黑产工具大盘点》

 

本文点评部分为胡久辉律师拟写,其余文字和图片转自雷锋网,原文链接:https://www.leiphone.com/news/201809/0TThoi0QulQ3VKYN.html

知乎上有一个问题:黑客如何月入百万?

楼下回答:自古深情留不住,唯有套路得人心。哥们儿,一起搞黑啊,月入百万不是梦。

这条回答被追加了数条评论,尽管大家都吆喝着“来啊,快活啊。”但多数人只是打个嘴炮。刀口舔血的黑产世界神秘而复杂,知道入口的人不算少,而真正的黑产马仔更需要掌握的是武器库中的黑产工具。

这些工具如同牛X的军用坦克,可以使大规模网络攻击装备化,大大提升了黑客攻击的成功率。

如果说早些年的黑客工具软件多多少少存在炫技的成分,当下的黑灰产工具则已经变得非常“务实”,完全以利益为驱动。

根据威胁猎人9月发布的《互联网黑灰产工具软件》报告,目前活跃的工具软件按照业务功能,大致可分为5大类:账号类、刷量类、薅羊毛类、内容爬取类和特定功能类。

在业务安全对抗中,刷量刷单类是黑灰产最常用的攻击工具,也是活跃度最高的一类工具,如刷文章阅读量、刷视频播放量、刷粉丝量和刷订单数量等,这类攻击集中体现在自媒体行业、电商行业和视频行业;除此之外,账号类、薅羊毛类和内容爬取类工具也活跃于黑灰产和厂商业务安全对抗中;特定功能类工具则主要包括模拟器、多开、改机和秒拨等功能性工具软件。

如何成为一名合格的黑产从业者?手里得有个趁手武器。

胡久辉律师点评:提供、出售各类具有侵入、非法控制功能的黑客工具,涉嫌提供侵入、非法控制计算机信息系统程序、工具罪!

账号类工具软件

在大部分黑产链中,账号的质量和数量很大程度决定了黑产的投入产出比。

账号类工具软件主要针对注册场景和登陆场景,实现的功能包括批量注册、扫号、鉴权和越权等。以“火牛注册扫号软件”为例,该工具直接和接码平台对接,用于接收短信验证码;同时内置VPS拨号功能用于绕过厂商的IP限制策略,从而完成帐号的批量注册和扫号。

黑客武器库:黑产工具大盘点

火牛注册扫号软件

下表专门列出了监控到的活跃账号类工具软件,有眼熟的吗?

黑客武器库:黑产工具大盘点

帐号类的工具软件牟利方式包括:1、直接对外出售批量注册的小号、对账号售卖有一定的分销制度,不同等级的代理拿货价格不一;2、通过将批量注册的小号用于刷量、引流的业务场景,像qq、email、微博号本身对其他厂商的业务可做授权服务,这类账号称为跳转号,同时跳转号的成本低廉;3、批量针对厂商推广活动的定制化小号,结合接码平台、打码平台等完成全自动化欺诈作业,短时间内薅取大量用户奖金。

胡久辉律师点评:通过黑客工具,绕过厂商的安全策略批量注册,可能涉嫌破坏计算机信息系统罪。

刷量刷单类工具软件

刷量刷单类工具软件主要活跃在电商、自媒体、短视频等行业,主要功能包括刷成交量、刷阅读量、刷播放量、刷关注量、刷粉丝量、以及刷评论量等。以“久久快手刷播放”为例,该工具首先批量加载一批快手小号的Token,然后通过模拟网络请求的方式,访问指定的快手作品网址,最终可以成功刷取播放量。

黑客武器库:黑产工具大盘点

久久快手刷播放

最近活跃的刷量刷单类工具软件有:

黑客武器库:黑产工具大盘点

刷量刷单类工具软件的牟利方式包括:1、通过提供刷量、刷单服务对任务发布者收取佣金;2、针对电商平台对商家补贴的运费,通过结合空包物流服务,发起退货请求薅取补贴;3、将点赞和刷评论结合,在用户作品下置顶评论,通过个人介绍或是评论内容出粉,出粉价格按引入其他平台账号个数计数等。

胡久辉律师点评:通过黑客工具,大量刷单,电商平台数据进行增加、修改,可能涉嫌破坏计算机信息系统罪。

薅羊毛类工具软件

薅羊毛类工具软件主要活跃于营销活动、电商抢购、红包领取等场景。以“瓦力抢红包”为例,该工具通过开通辅助功能,模拟点击控件从而实现抢红包及自动回复等功能。

黑客武器库:黑产工具大盘点

瓦利抢红包

一些比较活跃的薅羊毛类工具软件有:

黑客武器库:黑产工具大盘点

活跃的薅羊毛类工具

薅羊毛类工具软件的牟利方式包括:1、直接出售工具软件获利;2、利用工具领取平台推出的优惠券或减免红包等,或者将优惠券、红包等转手出售;3、将抢购到的物品二次出售,从而赚取差价等。

胡久辉律师点评:单纯地使用抢红包软件进行抢红包,并不构成犯罪。但是如果该软件对电商计算机信息系统进行破坏、增删改功能的,使用该软件非法获取财物、财产性利益,可能涉嫌破坏计算机信息系统罪和盗窃罪!

内容爬取类工具软件

内容爬取类工具软件主要通过爬虫程序,采集电商数据、短视频用户作品、招聘网站简历和自媒体文章等。

近期就有多款工具软件对拼多多的商品信息、店铺信息、拼团信息等数据进行爬取。以“拼多多精灵”为例,该工具软件通过请求apiv4.yangkeduo.com下的接口来爬取拼多多数据,提供开团提醒、关键词排名、类目排名、导出订单、物流监控、退款提醒、竞品对手监控等功能:

黑客武器库:黑产工具大盘点

黑客武器库:黑产工具大盘点

拼多多精灵截图

最近活跃的内容爬取类工具软件有:

黑客武器库:黑产工具大盘点

内容爬取类工具软件的牟利方式包括:1、利用采集的拼多多数据,提供数据分析服务和店铺管理服务获利,包括关键词排名、商品排名、开团监控、一键下订单、一键发货和多个店铺管理等;2、当店家在使用这些工具时,很可能导致订单数据泄露,黑灰产可以通过出售这些数据或利用数据进行营销和诈骗等来获利。

胡久辉律师点评:使用内容爬取类工具,可能非法获取计算机信息系统数据罪;如果获取大量用户的姓名、电话、住址、消费记录、交通出行、行踪住宿等信息,还可能涉嫌侵犯公民个人信息罪;如果利用此类黑客工具进行诈骗,可能涉嫌诈骗罪(电信网络诈骗狗罪门槛更低、处罚更重)。

特定功能类工具软件

特定功能类工具软件主要包括模拟器、多开、改机和秒拨等功能工具软件,常见应用于注册账号、邀请新用户领取红包、刷赞、刷分享、刷评分和刷榜等场景。特定功能类工具软件种类和数量不多,但是黑灰产业链中也发挥着极其关键的作用。

以改机软件“海鱼魔器”为例,在抖音引流这个场景,利用改机可以伪造位置,利用抖音附近视频的功能做引流,诱导附近看到视频的人添加微信小号。

黑客武器库:黑产工具大盘点

比如上图,借助改机软件将所在地点修改到人流量多的广州火车站,然后通过抖音上传“精心”制作的美女视频或图片,并配上包含微信号的文字,最终将上钩的男性用户定向引流至销售男性用品的微商,或被诱导发红包观看色情视频,最终上当受骗。(雷锋网(公众号:雷锋网)编辑OS:还有这种神操作?)

特定功能类工具软件虽然不参与直接牟利,但提供的功能可以帮助黑灰产更好的攫取利益。比如改机工具,除了上面提到的引流场景外,在账号注册场景也很重要,可以实现一个设备多次复用的效果。最近较活跃的特定功能类工具软件有:

黑客武器库:黑产工具大盘点

胡久辉律师点评:使用此类黑客工具,可能涉嫌破坏计算机信息系统罪以及衍生的诈骗罪等。

B站手机注册机3.0

这款6月捕获的针对B站的注册类工具软件,采用C++语言编写。通过使用接码平台手机号接收手机验证码,同时内置深度学习框架Caffe识别图像验证码,完成帐号批量注册。程序运行界面如下图:

黑客武器库:黑产工具大盘点

B站手机注册机运行界面

程序会登录接码平台:http://www.7gxyun.com:9000/soft.html

接收短信验证码,接着调用B站注册接口:https://passport.bilibili.com/register/phone

以及验证码下发接口:https://passport.bilibili.com/captcha

提取到验证码,如下图:

黑客武器库:黑产工具大盘点

之后该工具会使用内置的深度学习框架Caffe 识别图片验证码。识别验证码的过程会读取本地内置深度学习框架Caffe框架所需要的3个文件:deploy.prototxt,res_lstm_ctc_iter.caffemodel,label-map.txt。其中deploy.prototxt部分代码如下:

黑客武器库:黑产工具大盘点

deploy.prototxt代码截图

图像验证码识别成功后,完成帐号注册。

这款工具的牛X之处在于用到了深度学习的图像识别能力,使得图像识别准确率达到99%以上,平均完成一个账号的注册时间大约在10秒内。以往这一类的注册工具绝大多数会接一个打码平台或者内置一个针对目标网站的一个验证码识别库,无论是从识别准确率还是注册效率远比利用深度学习图像识别的低很多。

黑客武器库:黑产工具大盘点

深度学习运用于验证码识别

陌陌抢红包工具

另一款7月份捕获的针对陌陌的抢红包类工具软件,是基于按键精灵安卓版实现。通过自定义录制对手机屏幕的操作及重复次数等信息,按照一定模式进行对手机进行模拟操作从而实现抢红包等功能。

黑客武器库:黑产工具大盘点

陌陌抢红包工具运行界面

黑灰产人员只需要在按键精灵安卓版上编写相关的逻辑脚本,即可实现模拟用户操作的动作去实现他们想要的功能,按键精灵安卓版运行界面如下图所示:

黑客武器库:黑产工具大盘点

按键精灵安卓版运行界面

用户在点“录制”之后,就可以先手动操作一遍想要操作的功能,之后该软件会记录下用户操作的坐标轨迹,如下图所示:

黑客武器库:黑产工具大盘点

按键精灵安卓版运行界面

另外,研究人员还在分析时发现,该抢红包工具内置了工具需要的一些资源,包括识别出现红包时的图像。

黑客武器库:黑产工具大盘点

陌陌抢红包工具内置的图片资源

软件在后台运行,通过查找整个手机屏幕上满足上述截图图像所在的坐标,然后再模拟用户去点击操作,从而达到抢红包的目的。

58全职VIP发帖软件

最后一款软件是8月份发现的针对58同城的自动发帖类工具,其原理是通过破解58发帖相关接口来实现。在调用相关接口的时候,软件会把接口所需要的参数拼接一起然后再向服务器请求。在该软件中实现调用的接口包括:登陆、发帖、获取展示中的帖子、未展示帖子、已删除帖子、审核帖子、获取未读简历等。

黑客武器库:黑产工具大盘点

58全职VIP发帖软件运行界面

界面上会有很多发帖的相关设置,这些设置是黑灰产人员在分析58发帖的接口之后提取出来的,用户需要操作的一些变量值(包含发帖的省份、城市、街道、帖子标题、帖子职位等接口所需要的一些参数)。

黑客武器库:黑产工具大盘点

捕获到的接口信息

黑客武器库:黑产工具大盘点

POST的数据内容(编码前)

如此说来,上述大部分的内容为用户填写的信息,只要按照发帖的接口格式构造一样的形式数据就可以成功发出帖子。

从这个接口所需要的相关参数看到,58VIP发帖的接口需要的参数非常多,这就要求黑灰产人员具备较强能力的协议接口分析能力,能够分析出哪些是必须的参数,哪些是可有可无的参数,以及哪些是风控系统必须检测的参数,和参数的值是否加密。如果加密,则需要黑灰产人员破解加密算法之后,再计算出新的参数值以此绕过风控系统的检测。

胡久辉律师点评:使用批量发帖或帖子分析提取类工具,可能非法获取计算机信息系统数据罪;如果获取大量用户的姓名、电话、住址、消费记录、交通出行、行踪住宿等信息,还可能涉嫌侵犯公民个人信息罪!

文章由威胁猎人投稿,雷锋网编辑。

关注雷锋网宅客频道(微信公众号:letshome),获取报告原文。